אבטחת מידע ב"ראיה הוליסטית"

ביום יום, במקצועי האישי, אינני איש אבטחת מידע למרות שזהו תחום שאני מאוד מחבב (במסגרת עבודה זה כאב ראש בלתי נגמר, תודה – לא תודה) ולפעמים אני רואה פתרונות שלעניות דעתי לוקים בבעיות רציניות בהסתכלות הכללית על אבטחת מידע, ב"ראיה ההוליסטית" (מושג שלצערי "נכבש" בגוגל על ידי שרלטני הניו אייג'/מיסטיקה) הפתרונות שמוצעים לא מספקים, לא יספקו, והם אינם מסתכלים על אספקטים אחרים.

אחת מנקודות התורפה הידועות, הן שאנשי אבטחת מידע שונים תמיד חושבים על Windows כנקודות קצה. נכון, ב-Corporate הישראלי Windows בהחלט "שולט", אבל הוא בפירוש אינו היחיד. זה היה נכון פעם, בתחילת שנות ה-2000, אך מאז יש עוד פלטפורמות רבות שגם אם הן אינן בשימוש, הן שם, ליד משתמש הקצה.

אחד הטרנדטים שנכנסו לאחרונה לחברות רבות, הוא מנהג ה-BYOD (ר"ת של Bring Your Own Device) כך שהחברה לא צריכה לממן מכשירים סלולריים מצד אחד, אך היא יכולה להטמיע במכשירים אלו בצורה מאובטחת (כמה שניתן לקרוא לזה "מאובטחת") אפליקציות שונות שקשורות לתשתית החברה, החל ב-Mail, גלישה פנימית בשרתי החברה (Intranet), גישת VPN, גישה לקבצים בתוך הארגון וכו' וכו'.

לשם הפוסט, נניח תיאורתית שאני פורץ מטעם המתחרים של הארגון שלכם. ארגון מתחרה החליט שהוא מעוניין לדעת מה אתם מתכננים, זוממים, מה באמת המצב הפיננסי שלכם, מי הלקוחות שלכם וכו'. בשבילי, כפורץ כזה, ה-BYOD אומר IBMT (ר"ת I Bring My Tools).

בוא נסתכל על מצב המכשירים הסלולריים שיש כיום, ולא חשוב אם מדובר באייפון או במכשיר מבוסס אנדרואיד. מבחינת הקושי לפרוץ את המכשיר, יקח לי בין שניות ספורות למספר דקות. בשבילי, כפורץ, עדיף לי לפרוץ למכשיר של אחד (או יותר) מעובדי החברה. חושבים שעדכוני אבטחה יגנו על המכשיר מפריצה? תחשבו שוב. לא כולם מקבלים עדכוני אבטחה (המצב חמור ביותר בכל מכשירי סמסונג, שם אם בוצע root למכשיר – לא תקבל אפילו עדכון אחד יותר אי פעם, טמטום של סמסונג, ומה לעשות – מכשירים רבים שנמכרים שלא דרך היבואן הרשמי ובמחיר זול יותר מהיבואן הרשמי – נפרצים ע"י החנויות כדי לאפשר SIM זר), ואם אני פורץ מטעם המתחרה שלכם, יש מספיק תקציב לרכוש פריצות שלא נסגרו עדיין. הפריצה עצמה יכולה להתבצע במגוון דרכים – החל בפגישה עם הקורבן ועד לפריצה מרחוק (תלוי במכשיר ובפרמטרים אחרים).

מהרגע שהמכשיר פרוץ, אני "חוגג". אני root על המכשיר של הקורבן ויש לי גישה אל המכשיר מרחוק דרך ה-3G, ושום דבר לא חוסם אותי. חושבים שזה שסמסונג (לדוגמא) משתמשים ב-KNOX ימנע ממני משהו? לוקח 7 שניות לבטל את ה-KNOX (מנסיון – ביצעתי את זה על ה-Galaxy Note 4 שלי), ומהרגע שאני מתחבר למכשיר של הקורבן אני יכול להעלות למכשיר כל כלי שאני מעוניין, בין אם לסרוק את הרשת, לשנות MAC במכשיר, לנסות כלים שונים על כתובות שונות (הנה רמז: מתי עדכנתם לאחרונה את הקושחה של המדפסות הפשוטות שמחוברת ל-LAN ושיש לה גם WIFI?), ובמיוחד לעבוד על ה-WIFI שלכם ולגלות מה הדגם ומה החולשות שלו. אני לא לחוץ בזמן, אף אחד מאנשי ה-IT לא יכול לזהות אותי, בעל הטלפון שברוב מוחלט של המקרים לא יודע שאני "מתארח" על המכשיר שלו, וכל מה שאני צריך זה פשוט לחכות שאותו בעל מכשיר יגיע לעבודה ומשם אני אמשיך הלאה. אני כמובן לא אתחיל להריץ NMAP כי אני בטוח שכלי כלשהו בתשתית כבר יחסום אותי, אני אעבור למצב "ידני". רוב כלי ההגנה הולכים על תבניות (Patterns).

אני כבר מניח שחלק מהקוראים אולי יזלזלו בנקודה, יאמרו שה-WIFI בין כה פתוח רק לאורחים בלי שום תשתית. להזכיר לכם שבמכשיר הסלולרי יש לי גישה ל-MAIL ושאר דברים? ומה בדבר אפשרות שלי מהטלפון לפרוץ למחשבים אחרים בחברה? הם כמובן לא מתחברים למערכת "אורח" ולכן ההשקעה הראשונה שלי תהיה בפיצוח מערכת ה-WIFI שלכם ושוב.. מתי עדכנתם אותה לאחרונה? לא רק את השרת שנותן תקשורת ל-AP, אלא גם את ה-AP.

"ראיה הוליסטית" נכונה מצריכה יותר מאשר כלי כזה או אחר על מנת לחסום אותי. היא מצריכה דברים יותר עמוקים, כמו אבטחה הרבה יותר רצינית על מכשירי הסלולר לדוגמא. אם אני עשיתי root למכשיר סלולרי, המכשיר הזה לא אמור לקבל אפילו ביט אחד יותר מהחברה עד שהדבר יטופל. השרתים הפנימיים אמורים להיות סגורים לכניסה אלא אך ורק עם מפתחות + סיסמא ושינוי פורט כניסה (במקרה של SSH, אני בטוח של-Windows יש פתרון מקביל). עדכוני תוכנה לעולם אינם מספקים (טעות שהרבה ארגונים עושים) ויש להקשיח גם את השרתים הפנימיים שאף אחד מבחוץ לא מגיע אליהם, כי כשהם לא מוגנים, אני כפורץ תאורתי – "חוגג" עליכם. גם בעניין כתובות MAC – אפשר תמיד לזייף ולכן צריך לעבוד עם White List (לינוקסים – אפשר להתחיל עם זה, ול-Windows אפשר להתחיל עם זה).

נקודה נוספת שקשורה ל"ראיה הוליסטית" היא טעות שאנשי אבטחת מידע רבים עושים (ולעיתים, להגנתם אציין, ההחלטה מגיעה מלמעלה): הם מחליטים לחסום שרותים שונים. אין גישה מהבית, אין גישה ליוטיוב, אין גישה לפייסבוק, אין גישה ל-1001 שרותים שונים. למה? לא בא להם, הם בטוחים שזה חור אבטחה, הם בטוחים שאין צורך בכך – תהיה הסיבה אשר תהיה.

huawei-E2130-UltraStick-Wireless-3G-21Mbps-SD-modemללכת ב"ראש" הזה, תמיד יגרום למשתמשים מסויימים לחפש פתרונות עוקפים. חושבים לחסום Add Ons של כרום? אהלן וסהלן, עם כרומיום ניתן לעקוף את זה ב-2 דקות. חוסמים אפשרות של חיבור מהבית? תכירו את ה-UltraStick דגם E2131 של Huawei לדוגמא. קצת יקר (בסביבות 160$) אבל הוא נכנס לתוך כל כניסת קורא כרטיסי SD ואליו מכניסים NANO-SIM. עם זה כל מה שהמשתמש צריך לעשות זה להגדיר את פורט ההאזנה של תוכנת השליטה (ויש ערימות כאלו) לחיבור 3G ושלום על ישראל, הוא עקף את ה-Firewall שלכם. עכשיו לכו תחפשו את זה אם בכלל תדעו על כך.

כלומר לעקוף את אבטחת המידע תמיד אפשר, לא חשוב כמה איש אבטחת מידע הוא חכם, תמיד יהיה מישהו חכם ממנו.

לכן, החלטות כאלו חייבות הידברות ולהגיע לפתרונות. פוחדים מפריצה? סדרו פתרון שיתן גישה כלשהי לדסקטופ (גם למצבים שהעובד חולה/בחופשה, אם צריך. אין לי כח לספור כמה פעמים הייתי צריך להגיע ללקוחות כדי לסדר תקלה פעוטה רק כי איש אבטחת המידע חסם הכל, אבל בדרך גם השאיר פריצות בדברים אחרים שנושאת מטוסים היתה יכולה להיכנס דרכם!). בעיות רוחב פס בגלל יוטיוב/מוסיקה? תנתב את זה ל-ADSL, היום זה זול לאללה.

לסיכום: אני ממליץ לצאת מהראש של קופסאות/תוכנות/סקריפטים. אלו הם כלים ותכנון נכון ומתחשב יכול להוביל לאבטחת מידע טובה ורצינית. מומלץ לחשוב יותר על הראש של הפורץ מאשר לזרוק פה ושם פתרון והכי חשוב – להגיע להסכמות עם המשתמשים. אם תלכו רק לפי נוהלים שהוכתבו מראש, ו"ראש בראש" מול המשתמשים – תהיו בטוחים שתהיו חשופים.

11 תגובות בנושא “אבטחת מידע ב"ראיה הוליסטית"”

  1. היי,

    אני חייב להגיב למשפט הבא : "המצב חמור ביותר בכל מכשירי סמסונג, שם אם בוצע root למכשיר – לא תקבל אפילו עדכון אחד יותר אי פעם"
    מכיוון שהוא פשוט לא נכון ומטעה.

    המכשיר וגם סמסונג, לא יודעים שהמכשיר עבר תהליך של rooting ולכן, חבילת עדכון תשלח למכשיר , כאשר היא תצא (הבעיה בסמסונג היא שהעדכונים מאחרים להגיע). הבעיה היא אחרת, שלמרות שהגיע עדכון, הניסיון לעדכן בעזרתו את המערכת נכשל.

    מדוע ?
    מכיוון שלפני שתהליך העדכון תכלס מתחיל, בודקים checksum, במקרה של AOSP OTA, מסוג sha1 על כל קובץ וקובץ שמשתתף בתהליך העדכון, וכנ"ל עבור המחיצות boot , recovery, ואחרות כמו modem וכו'.
    במידה ועבור אחד הקבצים או המחיצות הבדיקה נכשלת העדכון כולו לא יתבצע.

    למה הבדיקה נכשלת ?
    מכיוון שבדרך כלל (בכל המדריכים שאני ראיתי בנושא) ממליצים להחליף את ה recovery שמגיע עם המכשיר באחר כגון clockworkmod, ולכן הבדיקה על מחיצה זו תכשל.
    בנוסף ישנם תהליכי rooting שמחליפים את הקרנל ב boot ולכן, גם הבדיקה על מחיצה זו תכשל.

    לסמסונג, וליצרניות אחרות אין כל כך מה לעשות בנידון, מכיוון שאין ביכולתן להוציא חבילת עדכון לכל הפרמוטציות שקיימות לפי הגמחה של אותו מפתח ששיחרר אימג' עבור ריקוברי, בנוסף הן גם לא רוצות ובנוסף אם משהו יודע ומסוגל לעשות רוט, הוא מסוגל לעדכן את המערכת בעצמו.

    בגרסאות האחרונות של אנדרואיד התווספו מנגנונים חדשים, כמו dm-verity, שכרגע מקשים מאוד ובעתיד יגרמו ל rooting להיות בלתי אפשרי

    1. נכון חלקית.

      קודם כל, סמסונג לא שולחת עדכונים, יש במכשיר כחלק מאנדרואיד שרות שבודק אם יש עדכונים, ואם למכשיר בוצע root, הוא פשוט מפסיק את כל התהליך באמצע (יוצר קשר אבל לא מוריד, כרגע בדקתי את זה על 2 מכשירי סמסונג). מה שאתה מדבר עליו הוא עדכון OTA במקרה של עדכון גירסא מלאה של אנדרואיד (נניח מ-4.4 ל-5.0), ברוב המקרים העדכון לא מוריד recovery, modem וכו' אלא רק חלק אחד והוא עובד כמו שהוא עובד עם odin.

      לסמסונג וליצרניות אחרות יש בהחלט מה לעשות בנידון והוא כן לאפשר עדכונים, בדיוק כמו שגוגל מאפשרת לך לקחת את המכשיר שלך שעבר root ולעדכן אותו (יש לי נקסוס 5 שעבר לא רק root אלא המון שינויים אחרים והוא גם קיבל אנדרואיד 5 וגם 5.1 ישירות דרך OTA).

    1. בד"כ כשמישהו מגיב ללא שם או ללא מייל, התגובה שלו "מוקפאת" עד שהיא מאושרת ידנית, כמו במקרה שלך. מכיוון שאני לא בודק כל יום את הבלוג וטוקבקים – אז לוקח לפעמים יום עד שהן מאושרות.

  2. שוב פעם טעות.

    גם עדכון קטנטן לדוגמא מ 4.4.2 ל 4.4.4 הוא בעזרת ota.

    אני לא יודע איך עשית root לנקסוס 5 שלך אבל ברגע ששינית bit אחד בריקוברי או ב boot עדכון ota יכשל. הפורומים בכל העולם מלאים בפוסטים של משתמשים שרוצים לדעת איך לעדכן במקרה של רוט.

    וכמו שכתבתי מגרסאות הבאות אפילו שינוי של ביט ב system יגרום לעדכון להכשל בעקבות מנגנון dm-verity.

    גם לגבי שאר החברות אתה טועה, חבילות העדכון שלהם הן ota ולא full image.
    חקרתי יותר מאחת של סמסונג ו אחרות.
    האינטרס שלהן הוא לשלוח חבילת עדכון כמה שנותר קטנה, ושהעדכון יהיה כמה שיותר מהיר.

    1. ושוב – אתה מדבר על עדכון גרסאות. אין הבדל בין עדכון 4.4 ל-5.0 כמו שאין הבדל (מבחינת התקנה) בין 4.4.2 ל-4.4.4. אני דיברתי על עדכונים קטנים שאינם כוללים את כל ה-dump של הפרטישנים.
      עדכון של נקסוס יכשל אם שינית קבצים של הגדרות sound לדוגמא (בעיה שקיימת בנקסוס 5 – צליל נמוך גם בווליום מקסימלי). אם מחזירים את ההגדרה לנורמלי אז העדכון עובר וכך אני קיבלתי את העדכון ל-4.4.4. אפשר לעדכן לא דרך OTA אם מורידים את הקבצים (במקרה של נקסוס) מהאתר של גוגל ומריצים את הסקריפט ואם לא רוצים שימחקו הנתונים – פשוט מורידים את הפרמטר של העדכון שלא יבצע wipe.
      אכן, מנגנון dm-verify ישבור אם שינית דברים, ובמכשירי סמסונג כשאתה עושה root הדגל של ה-warrenty שלך נדלק, כך שמעבדה יכולה לראות ישר שעשית root גם אם חזרת אחורה (אם כי גם לזה יש מעקף).
      משהו קטן: אם לא אכפת לך, אשמח אם לא תשתמש בכתובת אימייל שלי כשאתה כותב טוקבק. תודה 🙂

  3. הנה דוגמא לעדכון קטן 2.5MB
    http://android.clients.google.com/packages/ota/google_hammerhead/c08cce45be6d759d6fd29480f01128b18f7d4a11.signed-hammerhead-KTU84P-from-KTU84M.c08cce45.zip.

    חבר, האתר של גוגל שאתה מתייחס אליו , לא מכיל קבצי עדכון אלא אמג'ים מלאים שאותם אתה יכול לצרוב על המכשיר רק כאשר יש לך bootloader פתוח , שכמו שאמרת פוגע באחריות.

    1. חבר, אם אתה מדבר על נקסוס, אתה יכול לעדכן את ה-image במכשיר שלך עם העדכון הרשמי כמו הקובץ ZIP הנ"ל גם כשאין לך boot loader פתוח ועשיתי זאת לא פעם ולא פעמיים.
      ושוב – העדכונים הקטנים שדיברתי עליהם לא כללו IMAGES מלאים ומשום מה אתה מתעלם מדבריי.

  4. הנה דוגמא לעדכון קטן 2.5MB
    http://android.clients.google.com/packages/ota/google_hammerhead/c08cce45be6d759d6fd29480f01128b18f7d4a11.signed-hammerhead-KTU84P-from-KTU84M.c08cce45.zip.

    חבר, האתר של גוגל שאתה מתייחס אליו , לא מכיל קבצי עדכון אלא אמג'ים מלאים שאותם אתה יכול לצרוב על המכשיר רק כאשר יש לך bootloader פתוח , שכמו שאמרת פוגע באחריות.

    1. חבר, אם אתה מדבר על נקסוס, אתה יכול לעדכן את ה-image במכשיר שלך עם העדכון הרשמי כמו הקובץ ZIP הנ"ל גם כשאין לך boot loader פתוח ועשיתי זאת לא פעם ולא פעמיים.
      ושוב – העדכונים הקטנים שדיברתי עליהם לא כללו IMAGES מלאים ומשום מה אתה מתעלם מדבריי.

  5. לא, זה אתה שמתעלם.

    כדי לעשות flash לאימג' שלם, ה bootloader צריך להיות unlocked

    חבילה קטנה כמו הלינק למעלה זו חבילת OTA, שאותה אפשר לעדכן בכמה דרכים בלי לגעת בbootloader
    כך גם סמסונג וחברות אחרות מעדכנות רכיבים במערכת ההפעלה, שים לב : לא אפליקציות שמותקנות ע"י הורדתן מחנות היישומים.

    אתה קצת מתבלבל בין update package לבין Factory Images.

    לגבי : "סמסונג לא שולחת עדכונים, יש במכשיר כחלק מאנדרואיד שרות שבודק אם יש עדכונים"
    אז גם פה אתה טועה, סמסונג מחליטה איזה מכשיר יקבל עדכון ומתי, נכון שזה לא ב push אלא בpull, אבל כל עוד בשרת לא "סומן" שהמכשיר יכול לקבל עדכון, כשהוא ישאל את השרת האם יש לו עדכון, הוא יקבל תשובה שלילית.

    לגבי : "מה שאתה מדבר עליו הוא עדכון OTA במקרה של עדכון גירסא מלאה של אנדרואיד"
    ב OTA לא חייבים לעדכן גרסה מלאה, אפשר לעדכן קובץ בודד, נכון אין הגיון לשלוח קובץ בודד ולכן מאגדים כמה עדכונים.

    אשמח לעשות reverse engineering לתהליך המדובר כדי לשלול את טענתך לגבי בדיקה שאם המכשיר rooted לא תקבל עדכון.

    לגבי : "(יש לי נקסוס 5 שעבר לא רק root אלא המון שינויים אחרים והוא גם קיבל אנדרואיד 5 וגם 5.1 ישירות דרך OTA)"
    כמו שאמרתי, עדכון תקבל, לא בטוח שתוכל לבצע את העדכון בהצלחה. לא יודע איך אתה ביצעת אבל רוט של chainfire משנה את הקרנל והגדרות selinux שהן חלק מ boot & recovery images במקרה כזה לא תצליח לבצע את העדכון.

    למה עוד לא התייחסתי ????

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *